Welche Cloud-Services du weiterhin benutzen darfst

Ein Auftragsverarbeiter ist jemand, der deine Daten (damit meine ich die Daten deiner Kunden & Geschäftspartner) mit dir oder für dich verarbeitet.

In der heutigen Zeit wird es kaum noch ein Unternehmen geben, das in diesem Punkt völlig autark ist.
Zumindest die Webseite und der Mailaccount werden über einen Hosting-Provider laufen, möglicherweise sogar einige Software-Pakete (Stichwort: Office365) und wahrscheinlich ist auch noch ein Cloud-Anbieter mit an Bord.

Wenn du dir schon Gedanken über dein Verarbeitungsverzeichnis gemacht hast (siehe DSGVO Tipp #4), dann hast du alle deine Auftragsverarbeiter bereits identifiziert.

Die DSGVO verlangt NICHT von dir, dass du alle Cloud-Dienste abmeldest.
Im Gegenteil:
Gerade bei sehr kleinen Firmen kann es sein, dass über die Verwendung von Cloud-Services ein sehr hohes Sicherheits-Niveau ins Unternehmen Einzug hält, den das Kleinunternehmen selbst niemals herstellen könnte.

Damit du die Cloud-Services weiterhin nutzen kannst, sind folgende Dinge von Vorteil:

• Versichere dich, dass der Anbieter vertrauenswürdig ist. Dazu reicht zunächst mal ein seriöses Auftreten und keine Negativschlagzeilen.
• Schließe einen Vertrag ab.
  Die Inhalte eines solchen Vertrages bzw. ein Muster, kannst du dir wieder bei der Wirtschaftskammer holen.
• Seien wir realistisch: Google & Co werden keine Freude haben, wenn du ihnen einen solchen Vertrag zuschickst 😉
  Meistens wird es umgekehrt sogar so sein, dass du als Kunde ohnehin ein diesbzgl. Mail bekommst nach dem Motto “Wir haben jetzt die DSGVO umgesetzt”.
  Im Fall der “großen” Anbieter reicht es, wenn du dir die offiziellen Datenschutzbestimmungen und/oder Nutzungsbedingungen von deren Webseite herunterlädst und diese bei deinen DSGVO-Unterlagen speicherst.
• Wenn in diesen Datenschutzbestimmungen explizit auf den Artikel 28 der DSGVO Bezug genommen wird: Perfekt!
• Überprüfe, ob die Server in Europa stehen. Wenn das der Fall ist, ist alles paletti. Wenn nicht, musst du das in deinem Verzeichnis anführen.

Hier ein paar Anregungen, mit welchen Geschäftspartnern du einen Vertrag abschließen solltest:

• Cloud-Services
• Hosting-Anbieter
• Logistikdienstleister
• Online Zahlungsplattformen
• Unternehmen, die du mit der Vernichtung deiner Daten beauftragst
  Das wird sogar das bei dir beschäftigte Reinigungsunternehmen betreffen!

Lege diese Verträge (elektronisch) bei deinen DSGVO-Dokumenten ab.
Verweise im Idealfall im Verarbeitungsverzeichnis auf diese Verträge und deren Speicherort.

• Mit Steuerberatern und Wirtschaftsprüfern musst du keinen Vertrag abschließen! Diese zählen nicht als Auftragsdatenverarbeiter.
• Wenn dein EDV-Dienstleister von Zeit zu Zeit bei dir vorbeikommt, um ein Update einer Software einzuspielen, die bei dir im Unternehmen läuft, dann brauchst du dafür auch keinen Vertrag.
  Anders formuliert: REINE Wartungsverträge benötigen keinen Vertrag, weil dadurch keine Daten verarbeitet werden.

Sämtliche Gratis-Anbieter sind im unternehmerischen Kontext mit Vorsicht zu genießen.

Du kannst davon ausgehen: Wenn ein Dienst gratis ist, dann bist DU das Produkt!

Ich empfehle dir also explizit, auf folgende Dienste im betrieblichen Gebrauch zu verzichten:

• Dropbox (außer du verschlüsselst die dort abgelegten Daten)
• iCloud: Ja, das hat auch mich überrascht…eine ausführliche Begründung dazu findest du beim Datenschutz-Guru unter folgendem Link:
  https://www.datenschutz-guru.de/warum-apples-icloud-fur-unternehmen-derzeit-ein-problem-sein-kann/
• WhatsApp (weil es auf alle deine Kontakte zugreift, nicht nur auf jene, die WhatsApp benutzen)
• Facebook (wobei der reine Betrieb einer Unternehmensseite zum Zwecke der Information unproblematisch ist; was du nicht machen solltest, ist via Facebook Daten sammeln!)